码迷,mamicode.com
首页 > 系统相关 > 详细

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

时间:2019-11-07 21:57:34      阅读:120      评论:0      收藏:0      [点我收藏+]

标签:关于   配置   excludes   地址   路由   dns服务   域名   火墙   network   

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的。这里就直接开始配置了,不再详细的介绍了!

在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!!

一、案例环境

技术图片
由于模拟器的原因,导致防火墙不能和终端设备相连,所以中间放了一个交换机!

二、案例需求

(1)用户通过Easy 虚拟专用网通过域名(www.yinuo.com) 访问内部的网站;
(2)用户通过域名(www.xiaojiang.com) 正常访问公网上的网站;
(3)用户根据拓补图的要求,自行配置IP地址及相应的服务;

三、案例实施

(1)网关ASA防火墙的配置:

ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址,并设置默认网关
ASA(config)# username lvzhenjiang password jianjian
//防护墙默认已经启用AAA,而且是通过本地验证,所以直接设置用户名和密码即可
ASA(config)# crypto isakmp enable outside             //启用ISAKMP/IKE协议
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

阶段1配置完成!

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池,向虚拟专用网客户端分发IP地址(不可和内网的IP地址为同一网段)
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定义一个命名的ACL用于允许192.168.1.0去往任何地址,当推送到客户端时,就会反过来
//变成了允许任何IP地址访问192.168.1.0。因为这里的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定义策略并放置在本地(external表示定义在别的AAA服务器上)
ASA(config)# group-policy lv-group attributes               //定义用户组的属性
ASA(config-group-policy)# dns-server value 192.168.1.100
//定义发布给客户端的DNS服务器地址
ASA(config-group-policy)# address-pool value lv-pool
//调用刚才定义的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//关于上面的“split-tunnel-policy”后面可以接三种类型的规则,如下:
* tunnelspecified表示所有匹配的流量走隧道,我这里选择的就是这个;
* tunnelall:所有流量必须走隧道,即不做分离隧道,这是默认设置,一般不使用该选项;
* excludespecified:所有不匹配ACL的流量走隧道,不推荐使用此选项;
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//调用刚才定义的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道组的类型是远程访问  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道组的属性
ASA(config-tunnel-general)# address-pool lv-pool                //调用刚才定义的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //调用用户组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定义隧道组名称
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定义隧道组密码
ASA(config-tunnel-ipsec)# exit

阶段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定义传输集名称,及加密验证的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定义动态map名称为lv-dymap,优先级为1,并调用刚才定义的传输集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定义静态map,优先级为1000 ,调用动态map
ASA(config)# crypto map lv-stamap int outside
//将静态map应用到网关连接外网的接口上

阶段2配置完成

(2)客户端用于测试

这里使用windows 7系统进行测试!如果使用windows 10系统的朋友,安装客户端工具时,会相对麻烦一些,可以参考博文Windows 10系统安装虚拟专用网客户端工具

技术图片
技术图片
技术图片
接下来无脑下一步即可!安装完成之后
技术图片
技术图片
技术图片
技术图片
技术图片
连接成功后,查看生成的虚拟专用网的IP地址
技术图片
技术图片
访问公司内部、公网的服务器测试访问!
技术图片
技术图片
访问成功!

———————— 本文至此结束,感谢阅读 ————————

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

标签:关于   配置   excludes   地址   路由   dns服务   域名   火墙   network   

原文地址:https://blog.51cto.com/14157628/2448611

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!